策略概要

安全策略概要：
安全策略（Security Policy）在安全領域具有雙重含義。宏觀上，安全策略指的是一個組織為保證其信息安全而建立的一套安全需求、控制措施和流程要求。它不僅建立了信息安全的總體目標，定義了信息安全的管理結構，還提出了對組織成員的安全要求。這種安全策略通常以文檔的形式存在，屬于企業治理范疇。
具體到防火墻產品上，安全策略指的是用于保護網絡的規則。它是由管理員在系統中配置，決定了哪些流量可以通過，哪些流量應該被阻斷。安全策略是防火墻產品的一個基本概念和核心功能。防火墻通過安全策略來提供業務管控能力，以保證網絡的安全。

認證概要

用戶認證概要
華為防火墻用戶認證是一種基于身份驗證的網絡安全解決方案，旨在確保僅授權用戶能夠訪問受保護的網絡資源。這項認證技術通過驗證用戶的身份，實現對網絡訪問權限的管理和控制，從而幫助用戶建立一個安全的網絡環境。內部網絡中的訪問者使用AD域賬號和密碼進行認證，認證通過后，AD服務器將域賬號和IP地址發送至FW，FW記錄訪問者使用的用戶和IP地址之間的對應關系。
為了更直觀的熟悉和使用華為防火墻策略和用戶認證用一個實驗來學習。

實驗

題目如下：

拓撲圖

題目

首先觀察該拓撲圖，要實現防火墻對各個區域的流量控制訪問就要保證流量都需要經過防火墻。在生產區和辦公區兩個區域內可配置兩個vlan2 3實現區域劃分隔離廣播域，然后在防火墻的GE1/0/1口方向配置兩個子接口，原理類似單臂路由，然后G1/0/0和G1/0/4口分別做游客區和DMZ區的網關，兩個防火墻的G0/0/0口連接同一個交換機然后利用web對防火墻進行登錄控制。
配置子接口：
1、接口名稱盡量做到通俗易懂。
2、安全區域（要求一的第一點要求）
3、綁定到該接口的vlan編號
4、配置該虛擬接口的ip（辦公區的網關）

要求一

實現以上的基本配置后開始對第一個要求進行配置，在防火墻內要實現一個區域對一個區域的精細控制首先需要對區域進行劃分,在網絡頁面的安全區域模塊進行配置，一個區域就對應的是防火墻的一個接口。


點開具體條目如上所示，因為后續需要具體對策略進行配置所以簡單命名就行
然后進入策略界面：
安全策略界面的策略是重上之下逐一匹配，匹配到了就不會繼續往下匹配，末尾是拒絕所有。
新建安全策略

1、名稱，做到見名知意
2、對該策略的描述
3、可創建一個相關功能的一個組，能更方便管理
4、給這個策略貼上一個標簽，可自己創建。
5、源安全區域，創建的安全區域的起點這里指的是生產區
6、目標安全區域，目標的安全區域這里指的是DMZ(服務器區)和untrust(互聯網)
7、源地址，可創建一個快捷方式這里的SC_ad指（10.0.1.0/24）可指一個網段也可一個ip地址
8、目標地址
9、可控制訪問用戶的認證方式
10、可控制的各種服務例如：http、https、ftp、icmp等等
11、可控制的各種應用服務比如：訪問互聯網服務、社交文檔、視頻影音等等
12、可訪問的時間，也是這里題目的要求

這里生產區的要求是全天訪問所以這里的第12點可以配置any全天訪問，辦公區需要控制時間段那么可新建一個時間段如圖所示

要求二

生產區不允許訪問互聯網，辦公區和游客區可以
可以訪問互聯網任然在策略中進行配置，而互聯網區域存在很多不穩定因素所以俗語不信任區域（untrust）

如圖進行配置，游客區訪問互聯網，生產區不允許訪問互聯網就不用給生產區授權去互聯網的策略，因為末尾是拒絕所有，辦公區如游客區相同配置。

要求三

10.0.2.10不能訪問dmz區域的http,ftp服務且僅能ping通service1http服務器，這需要在制定一條10.0.2.10為源地址的策略如下配置

可以單獨設置10.0.2.10僅能夠ping通http服務器，末尾隱含拒絕所有及滿足條件。所以在服務那一欄僅寫icmp服務允許通過，測試如下：

要求四

要求四需要設計認證，首先要在用戶模塊創建一個用戶域，然后添加用戶組，為了細化用戶認證。

成樹形結構

因為市場部需要使用免認證所以需要采用雙向綁定。

游客僅能訪問10.0.3.10的門戶網站所以配置策略

因為研發部訪問DMZ區域需要使用匿名認證，市場部訪問DMZ需要免認證所以需要去配置用戶認證策略

同樣策略內需要配置兩個區域的安全區域和地址，最重要的是認證動作，在市場部中使用的是免認證，在上面也提到了免認證的要求需要該區域的用戶訪問需要進行雙向綁定及ip和MAC地址進行綁定才能夠進行免認證。

要求五

首先在生產區下創建三個部門每個部門三個人，且控制時間為10天并不允許多人使用

要求六

首先新建一個自定義管理員角色

創建自定義管理員